• Slovenia
  • Group

Nova uredba vrača nadzor nad osebnimi podatki ljudem

Z novo enotno evropsko zakonodajo varstva osebnih podatkov (GDPR), ki se bo začela uporabljati maja 2018, v ospredje ponovno stopajo posamezniki. Ti bodo z novimi pravicami znova pridobili nadzor nad svojimi osebnimi podatki. Kaj slednje pomeni za podjetja?

Splošna uredba o varstvu podatkov (v nadaljevanju: uredba), ki se bo začela uporabljati 25. maja 2018, je prelomnica na področju varstva osebnih podatkov. Uredba je logični odgovor na bliskovit razvoj informacijsko-komunikacijske tehnologije, zaradi katere smo v zadnjih letih priča bistvenim spremembam v intenzivnosti in načinu rabe osebnih podatkov.

Uredba definicijo osebnega podatka širi in jo prilagaja modernim tehnologijam. Osebni podatek, bo odslej katerikoli podatek, ki določa fizično osebo oz. na podlagi katerega je fizično osebo mogoče določiti. Ti so denimo tako osebno ime in fotografija, pa tudi elektronski naslov, IP naslov, podatki o zdravstvenem stanju ipd.




Cilj uredbe je zaščita posameznika

Cilj uredbe je predvsem zaščititi posameznika in mu vrniti nadzor nad lastnimi osebnimi podatki.  Prinaša paleto novosti, katerim se bodo morala podjetja, ki želijo poslovati transparentno, prilagoditi. Že danes je zanje priporočljivo, da – zavedajoč se kompleksnosti novih pravil – čimprej pristopijo k izdelavi načrta, ki bo zagotovil skladnost poslovanja z določili uredbe. A še pred implementacijo sprememb je nujno, da podjetja naredijo popis vseh zbirk osebnih podatkov, ki so jih zbrali, jih hranijo in obdelujejo.

Med številnimi ukrepi velja izpostaviti, da bodo zahteve za pridobivanje soglasij posameznikov za zbiranje osebnih podatkov odslej veliko strožje. Privolitev bo morala biti izrecna, dana v obliki jasne in razumljive izjave; zgolj 'domnevna privolitev' ne bo zadoščala, kakor tudi ne razni opt-out mehanizmi za pridobivanje soglasja, ki predpostavljajo, da se lahko podatki uporabljajo tudi brez vnaprejšnje privolitve. Pod črto: pridobiti bo potrebno vnaprejšnje soglasje prejemnika. 


Tri ključne novosti

1. Dolžnost obveščanja posameznika o obdelavi osebnih podatkov

Podjetja bodo morala posameznikom omogočiti, da lahko brez težav dostopajo do lastnih osebnih podatkov ter jih v določenem roku po prejemu osebnih podatkov na jasen in razumljiv način obširno obvestiti o obdelavi njihovih osebnih podatkov.

2. Pravica do pozabe

Kdor ne bo želel, da se njegovi osebni podatki obdelujejo, bo ob pogoju, da ne bo zakonitih razlogov za njihovo nadaljnjo hrambo, lahko zahteval, da se njegovi osebni podatki izbrišejo.

3. Pravica do prenosljivosti

Ta posamezniku, na katerega se osebni podatki nanašajo, omogoča, da od podjetja pridobi osebne podatke v strukturirani, splošno uporabljani in strojno berljivi obliki. Hkrati omogoča še, da te podatke posreduje drugemu upravljavcu. V praksi bo npr. to pomenilo, da vam bo moral ponudnik storitev elektronske pošte naložene podatke zagotoviti v takšni obliki, ki bo omogočala prenos podatkov k drugemu, konkurenčnemu ponudniku omenjenih storitev. Enako bo npr. veljalo tudi za fotografije in komentarje, objavljene na družbenih omrežjih.

Pomembna novost za podjetja je tudi obveznost obveščanja o kršitvah varstva osebnih podatkov. Podjetja bodo namreč morala o vsaki kršitvi brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah obvestiti Informacijskega pooblaščenca. Kadar bi kršitev lahko ogrozila pravice in svoboščine posameznika, pa bo potrebno o vdoru obvestiti tudi posameznika.


Stroge kazni za kršitelje

Kako pristopiti in pravočasno implementirati pravila v svoje poslovne procese? Odgovor je: čimprej. Dobro se je tudi zavedati, da uredba podjetjem ne prinaša samo 'omejitev', temveč tudi priložnosti, ki jih bo ponujal enotno urejen digitalni trg. So pa dodatna motivacija, da se v podjetju pravočasno lotite celostne ureditve, gotovo tudi visoke kazni, ki jih za kršitelje predvideva uredba. Višina kazni, ki bo sicer odvisna od narave kršitve, lahko doseže do 20 milijonov evrov ali do 4 % skupnega letnega prometa kršitelja.



Iz prakse: Kako smo se skladnosti z uredbo lotili v Bisnode

Bisnode je družba, katere dejavnost temelji na podatkih. Zavedamo se, kako dragoceni so osebni podatki v današnjem digitalnem gospodarstvu in da si bomo konkurenčno prednost priborili le, če bomo z osebnimi podatki ravnali odgovorno, zakonito in pošteno. Kako smo se zagotavljanja skladnosti poslovanja z uredbo lotili v pri nas?  

Imenovali smo pooblaščeno osebo za varstvo osebnih podatkov.

Za zaposlene smo organizirali izobraževanje, na katerem so se seznanili s ključnimi spremembami, ki jih prinaša uredba.

Prilagodili smo vse pogodbe o obdelavi osebnih podatkov, kodekse ravnanja ter sprejeli ostale preventivne ukrepe, s katerimi bomo zagotovili ustrezno ravnanje z osebnimi podatki.






Avtorica: Sandra Pjanić, strokovna sodelavka za pravne zadeve v Bisnode Južni trgi